一次解决存储型xss和csrf漏洞的简单方法

最新推荐文章于 2024-07-30 09:06:59 发布
最新推荐文章于 2024-07-30 09:06:59 发布
阅读量9.6k 收藏 3
点赞数 1
分类专栏: web安全漏洞 文章标签: xss csrf web安全漏洞 安全漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aya19880214/article/details/45893641
版权
本文提出了一个结合加密的解决方案来防范存储型XSS和CSRF漏洞。通过加密请求参数,包括生成签名、参数顺序标记以及过滤特殊字符,确保即使请求被篡改,服务器也能检测并拒绝非法请求。该方法涉及前端加密和后端解密,以及在处理请求时对比签名以验证参数完整性和顺序。
摘要由CSDN通过智能技术生成

目前我知道的,存储型xss解决方法:过滤转义用户输入的脚本、标签,csrf漏洞解决方法:校验referer、加token、加验证码

而referer校验是针对存在referer的情况,因为某些请求的head里没有referer,这时不能判断请求是非法的;加token,保存在哪是个问题,如果保存在session中,当集群部署时,session不同步会导致客户端的token与处理请求的服务器的token不一致;加验证码同样的道理,而且对用户体验非常不好。

由于xss和csrf都是改变用户请求参数来达到恶意攻击的目的,所以,如果我们从参数改变这一点切入,就没有问题了,做法很简单:

将参数加密后传递,这样请求被拦截篡改的参数将不能被服务器解密,因而拒绝请求。


前台需要两个加密方法:

最低0.47元/天 解锁文章
aliveClass
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS 存储漏洞解决
qq_33391644的博客
07-21 1349
XSS漏洞修复 网上方案不得不妨看一下,网上方案优化之后的代码
存储 XSS
weixin_33777877的博客
10-09 293
存储XSSXSS***的用处JS-Context存储XSS:1、</script>闭合当前脚本,然后输入自定义内容。过滤<,>,/替换</script>为</’+’script>(网易邮箱)2、根据JS上下文,构造正确的闭合。根据实际情况,进行过滤。通常输出是字符串,在’和"之间,过滤’,"即可和<script>中的XSS一样,过滤’...
存储XSS(Cross-Site Scripting)
最新发布
qq_69100706的博客
07-30 198
在CTF(Capture The Flag)竞赛中,存储XSS(Cross-Site Scripting)攻击是一种利用Web应用程序将恶意脚本永久存储在服务器上的漏洞。不同于反射XSS存储XSS不需要用户点击特定的链接来激活恶意脚本,因为它存储在服务器的数据库或文件系统中,并在每次请求相关的页面或数据时执行。
存储XSS攻击的解决方法
weixin_43901818的博客
08-21 1万+
为了避免存储XSS攻击,建议采用以下方式进行防御 1.对从数据库或其它后端数据存储获取不可信赖的数据进行合理验证(如年龄只能是数字),对特殊字符(如`<、>、以及<script>、javascript等进行过滤)。 2.设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。在java EE中,给Cookie添加HttpOnly代码: response.setHeader(“Set-Cookie”,“cookiename=value; Path=/;Domai
解决存储Xss漏洞
热门推荐
abcjwg的专栏
04-15 2万+
近期做的一个项目进行渗透测试,检测代码存在存储Xss漏洞。例如在界面文本域输入<h2>12345</h2>、<script>alter(12345)</script>这样的值,如果程序未进行处理,会存储至数据库。下次回显会出现异常界面或弹出异常框,如果进行恶意攻击,可能后果不堪设想。 网上搜集的大部分代码都是使用过滤器,并对请求数据进行过滤,重写...
存储Xss跨站式脚本攻击解决方案
weixin_44442403的博客
10-15 1621
一 新建一个XssFilter类 package com.walk.common.xssnew; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servl...
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 772
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1570
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF的区别
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
存储XSS则更为严重,因为它将恶意脚本存储在服务器上,任何访问该页面的用户都可能受到攻击。DOMXSS则通过修改DOM(Document Object Model)来注入和执行恶意代码。 在XSS攻击中,攻击者可能会窃取用户的会话...
存储Xss成因及挖掘方法
02-21
存储Xss成因及挖掘方法
XSS存储XSS
zh的博客
10-11 453
靶场地址:http://www.whalwl.top:8006/ 解题准备:存储XSS的基本方法即可解题 解题思路: 1、首先登录,发布留言,测试是否可以弹窗 aaa<script>alert("xss")</script> 成功弹窗,继续测试获取本地cookie aaa<script>alert(document.cookie)</script> 并没有发现flag 根据提示,需要钓鱼管理员,因此需要准备XSS...
【项目】 Java 过滤器 解决存储xss攻击问题
冯浩月
12-22 3616
攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站脚本漏洞欺骗用户,收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码,可以让访问者访问非法网站或下载恶意木马,如果再结合其他攻击手段(如社会工程学、提权等),甚至可以获取系统的管理权限
XSS 存储漏洞修复
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
web ---- 存储 XSS
L0g1c的博客
07-23 1739
Js操纵的主体是浏览器,窃取的当然是浏览器的Cookie,所以有XSS的地方,你如果抓包改Cookie去访问,XSS是吃不到你修改过的Cookie,其实你访问的时候抓包就可以看到,第一次访问正常页面,第二次会GET传参访问XSS平台。以前也搭建过XSS平台,其实后台可以看到所有用户的Cookie,当你用了别人的XSS平台其实就要注意信息泄露这个问题,而且访问XSS平台和XSS页面建议使用无痕,天知道,他们会不会在脚本里面做手脚。...
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
java后端开发的博客,不仅仅是后端开发
07-05 2281
CSRF跨站请求伪造,全称Cross-site request forgery,是指利用受害者尚未失效的身份认证信息操作他们的账户以进行非法操作。
【安全】 Java 过滤器 解决存储xss攻击问题
DreamSun的博客
10-10 2390
跨站脚本( cross site script )为了避免与样式css(Cascading Style Sheets层叠样式表)混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞 ,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
CSRF漏洞三种解决方案
慕白Lee的博客
07-09 4199
三种解决方案: 一.验证HTTPReferer(拦截器方法) (相等或者包含的时候拦截) 二.在请求地址中添加token并验证 wait... 三.在HTTP头中自定义属性并验证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值